Jak nie dostać kary od PUODO?

10 maja 2022   /  Jacek Cieśliński  /  Artykuły

Czyli ciąg dalszy o tym czego uczą nas dotychczasowe decyzje organu. W tym wpisie opowiemy o art. 5 RODO i praktyce PUODO na jego podstawie. Przepis ten zajmuje bardzo wysokie miejsce w naszym rankingu kar, będąc w czołówce najczęściej naruszanych artykułów RODO.

Art. 5, czyli zasady RODO

Każdy, kto miał styczność z RODO – czy to zawodowo, czy hobbystycznie (tak, wiemy, że tam jesteście miłośnicy RODO, żaden wstyd, my też całkiem lubimy ten akt prawny 😊) – wie, że fundamentem, na którym zbudowana jest ochrona danych osobowych, jest art. 5, który zawiera katalog podstawowych zasad przetwarzania. Są to konkretnie: 

  • zasada legalności („dane osobowe muszą być przetwarzane zgodnie z prawem”);
  • zasada rzetelności („dane osobowe muszą być przetwarzane rzetelnie”);
  • zasada przejrzystości („dane osobowe muszą być przetwarzane w sposób przejrzysty dla osoby, której dane dotyczą”);
  • zasada ograniczenia celu („dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach”);
  • zasada minimalizacji („dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”);
  • zasada prawidłowości („dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane”)
  • zasada ograniczenia przechowywania („dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”);
  • zasada integralności i poufności („dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo”);
  • zasada rozliczalności („administrator musi być w stanie wykazać przestrzeganie zasad”).

Powstaje pytanie:

Czy tak ogólne przepisy mogą być aż tak istotne?

„Zasady” kojarzą nam się z czymś generalnym, z natury nieprecyzyjnym. Zdawałoby się więc, że nie musimy się nimi przejmować w kontekście kar, prawda? W końcu sporo z nas intuicyjnie ma z tyłu głowy prawnokarną regułę nullum crimen sine lege certa, która nakazuje, aby przepisy przewidujące sankcje były na tyle precyzyjne, by zarówno dla organu, jak i adresata normy nie budziło wątpliwości czy określone zachowanie narusza prawo, czy nie. Innymi słowy — jeśli ustawodawca wprowadza sankcje, powinniśmy móc bez cienia wątpliwości wskazać: kto, kiedy i co ma albo czego nie ma czynić.  

Czytając art. 5 RODO, na pierwszy rzut oka przywołane zasady wydają się stanowić raczej zbiór luźnych postulatów, bardzo różniących się od innych przepisów posiadających jasny nakaz albo zakaz konkretnego działania. Nic bardziej mylnego.

Chcemy z całą mocą podkreślić, że zasady ogólne mają taki sam normatywny charakter, jak każdy inny przepis RODO i obowiązkiem administratora jest ich stosowanie – na każdym etapie przetwarzania danych osobowych.

A za naruszenie – kara?

Tak, i to ta wyższa, do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 % całkowitego rocznego światowego obrotu.

„Żeby uniknąć kary, potrzeba trzech rzeczy: Informacji, informacji i informacji”.

Jeśli przepis jest tak ogólny, a przy tym zagrożony surową karą, bardzo ważna jest znajomość praktyki organu w jego stosowaniu. I tę wiedzę chcemy Wam dzisiaj przybliżyć. 

Brak procedur i umów powierzenia 

Jednym z powodów nałożenia kary w wysokości 40 tys. zł na burmistrza Aleksandrowa Kujawskiego było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane. W konsekwencji braku takiej umowy, burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył zasadę legalności (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).

To jednak niejedyne naruszenia. W toku postępowania kontrolnego stwierdzono brak procedur wewnętrznych dotyczących przeglądu danych pod kątem ustalenia okresu ich przetwarzania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat. W ocenie PUODO administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczony e link do dedykowanego kanału na YouTube. Nie było kopii zapasowych tych nagrań. Przez to, w przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby tymi materiałami.  Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO).

Zasada rozliczalności również została naruszona –  w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Treść decyzji.

Niewystarczające zabezpieczenia 

PUODO nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł, uznając, że zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Organ uznał m.in., że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych oraz zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.

W decyzji nakładającej karę Prezes UODO uznał, że spółka – nie stosując wystarczających środków ochrony danych – naruszyła określoną w art. 5 ust. 1 lit f RODO zasadę poufności. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary.

Treść decyzji.

Nie można utrudniać wycofania zgody 

PUODO nałożył karę na ClickQuickNow w wysokości ponad 201 tys. zł m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych, a tym samym za naruszenie zasady legalności oraz zasady rzetelności (art. 5 ust 1 lit. a RODO).

Postępowanie PUODO wykazało, że stosowany przez spółkę mechanizm wycofania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem przyzwolenia. Po uruchomieniu linku komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd. Ponadto spółka wymuszała podanie przyczyny wycofania zgody, a brak jej wskazania skutkował przerwaniem całego procesu.

Treść decyzji.

Nie tylko PUODO jest surowy

Jedną z ciekawszych decyzji wydanych za naruszenie art. 5 RODO jest decyzja francuskiego organu (CNIL) wydana w sprawie Google LLC, m.in. za naruszenie zasady przejrzystości. W ocenie CNIL informacje dostarczane przez Google nie były łatwo dostępne dla użytkowników, a w części również nieprecyzyjnie sformułowane, przez co użytkownicy nie byli w stanie w pełni zrozumieć zakresu operacji przetwarzania przeprowadzanych przez Google. Google zaniechał również przekazania informacji o okresie przechowywania niektórych danych. Konsekwencja? Jedna z najwyższych kar dotychczas wymierzonych na podstawie RODO – w wysokości 50 mln euro.

Dziękujemy, że jesteś z nami i przeczytałeś do końca. Możliwe, że zainteresują Cię również pozostałe nasze wpisy z serii praktycznych wskazówek dla uniknięcia kar

Podziel się

Autor: Jacek Cieśliński

Podziel się

Potrzebujesz pomocy w tym temacie?

Napisz do naszego eksperta

Mateusz Borkiewicz

Managing Partner, adwokat

+48 663 683 888 Kontakt

Artykuły z tej kategorii

Zmiany w podatku od nieruchomości

Artykuły

Więcej
Zmiany w podatku od nieruchomości

DORA na horyzoncie: kluczowe zmiany dla sektora finansowego 🏦

Artykuły

Więcej
DORA na horyzoncie: kluczowe zmiany dla sektora finansowego 🏦

NIS 2 – Nowe wymagania

Aktualności

Więcej
NIS 2 – Nowe wymagania

O czym musi pamiętać pracodawca zatrudniając niepełnoletnie osoby?

Artykuły

Więcej
O czym musi pamiętać pracodawca zatrudniając niepełnoletnie osoby?

Co powinna zawierać Polityka wykorzystywania systemów AI?

AI

Więcej
Co powinna zawierać Polityka wykorzystywania systemów AI?
Więcej

Kontakt

Masz pytania?zobacz telefon+48 570 913 713
zobacz e-mail

Biuro w Warszawie

03-737 Warszawa

(Centrum Praskie Koneser – Spaces)

pl. Konesera 12 lok. 119

google maps

Biuro we Wrocławiu

53-659 Wrocław

(Quorum D)

Gen. Władysława Sikorskiego 26

google maps

Hej, Userze
czy jesteś już w newsletterze?

    Zobacz jak przetwarzamy Twoje dane osobowe tutaj